XSS攻擊通常指的是通過利用網頁開發時留下的漏洞,通過巧妙的方法注入惡意指令代碼到網 頁,使使用者加載并執行攻擊者惡意制造的網頁程式。這些惡意網頁程式通常是JavaScript,但實 際上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻擊成功後,攻擊 者可能得到包括但不限于更高的權限(如執行一些操作)、私密網頁内容、會話和cookie等各種 内容。
例如使用者在發帖或者注冊的時候,在文本框中輸入 <script>alert('xss')</script> ,這段代碼 如果不經過轉義處理,而直接儲存到資料庫。将來視圖層渲染 HTML 的時候,把這段代碼輸出到 頁面上,那麼 <script> 标簽的内容就會被執行。 通常情況下,我們登陸到某個網站。如果網站使用 HttpSession 儲存登陸憑證,那麼 SessionId 會以 Cookie 的形式儲存在浏覽器上。如果黑客在這個網頁發帖的時候,填寫的 JavaScript 代碼是用來擷取 Cookie 内容的,并且把 Cookie 内容通過 Ajax 發送給黑客自己的電 腦。于是隻要有人在這個網站上浏覽黑客發的文章,那麼視圖層渲染 HTML 頁面,就會執行注入 的 XSS 腳本,于是你的 Cookie 資訊就洩露了。黑客在自己的電腦上建構出 Cookie ,就可以冒 充已經登陸的使用者。 即便很多網站使用了JWT ,登陸憑證( Token 令牌 )是存儲在浏覽器上面的。是以用 XSS 腳本可 以輕松的從Storage 中提取出 Token ,黑客依然可以輕松的冒充已經登陸的使用者。 是以避免 XSS 攻擊最有效的辦法就是對使用者輸入的資料進行轉義,然後存儲到資料庫裡面。等到 視圖層渲染 HTML 頁面的時候。轉義後的文字是不會被當做 JavaScript 執行的,這就可以抵禦 XSS 攻擊。 二、導入依賴庫
<dependency>
<groupId>cn.hutool</groupId>
<artifactId>hutool-all</artifactId>
<version>5.4.0</version>
</dependency>
三、建立XssFilter跟XssHttpServletRequestWrapper檔案
package com.example.emos.wx.config.xss;
import cn.hutool.core.util.StrUtil;
import cn.hutool.http.HtmlUtil;
import cn.hutool.json.JSONUtil;
import javax.servlet.ReadListener;
import javax.servlet.ServletInputStream;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.io.*;
import java.nio.charset.Charset;
import java.util.LinkedHashMap;
import java.util.Map;
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
public XssHttpServletRequestWrapper(HttpServletRequest request) {
super(request);
}
@Override
public String getParameter(String name) {
String value= super.getParameter(name);
if(!StrUtil.hasEmpty(value)){
value=HtmlUtil.filter(value);
}
return value;
}
@Override
public String[] getParameterValues(String name) {
String[] values= super.getParameterValues(name);
if(values!=null){
for (int i=0;i<values.length;i++){
String value=values[i];
if(!StrUtil.hasEmpty(value)){
value=HtmlUtil.filter(value);
}
values[i]=value;
}
}
return values;
}
@Override
public Map<String, String[]> getParameterMap() {
Map<String, String[]> parameters = super.getParameterMap();
LinkedHashMap<String, String[]> map=new LinkedHashMap();
if(parameters!=null){
for (String key:parameters.keySet()){
String[] values=parameters.get(key);
for (int i = 0; i < values.length; i++) {
String value = values[i];
if (!StrUtil.hasEmpty(value)) {
value = HtmlUtil.filter(value);
}
values[i] = value;
}
map.put(key,values);
}
}
return map;
}
@Override
public String getHeader(String name) {
String value= super.getHeader(name);
if (!StrUtil.hasEmpty(value)) {
value = HtmlUtil.filter(value);
}
return value;
}
@Override
public ServletInputStream getInputStream() throws IOException {
InputStream in= super.getInputStream();
InputStreamReader reader=new InputStreamReader(in, Charset.forName("UTF-8"));
BufferedReader buffer=new BufferedReader(reader);
StringBuffer body=new StringBuffer();
String line=buffer.readLine();
while(line!=null){
body.append(line);
line=buffer.readLine();
}
buffer.close();
reader.close();
in.close();
Map<String,Object> map=JSONUtil.parseObj(body.toString());
Map<String,Object> result=new LinkedHashMap<>();
for(String key:map.keySet()){
Object val=map.get(key);
if(val instanceof String){
if(!StrUtil.hasEmpty(val.toString())){
result.put(key,HtmlUtil.filter(val.toString()));
}
}
else {
result.put(key,val);
}
}
String json=JSONUtil.toJsonStr(result);
ByteArrayInputStream bain=new ByteArrayInputStream(json.getBytes());
return new ServletInputStream() {
@Override
public int read() throws IOException {
return bain.read();
}
@Override
public boolean isFinished() {
return false;
}
@Override
public boolean isReady() {
return false;
}
@Override
public void setReadListener(ReadListener readListener) {
}
};
}
}
package com.example.emos.wx.config.xss;
import javax.servlet.*;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;
@WebFilter(urlPatterns = "/*")
public class XssFilter implements Filter {
@Override
public void init(FilterConfig filterConfig) throws ServletException {
}
@Override
public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
HttpServletRequest request= (HttpServletRequest) servletRequest;
XssHttpServletRequestWrapper wrapper=new XssHttpServletRequestWrapper(request);
filterChain.doFilter(wrapper,servletResponse);
}
@Override
public void destroy() {
}
}
四、 啟動類增加@ServletComponentScan注解
五、測試調試